Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Adobe Flash Extended Support Release 13.0.0.302 et les versions 13.x antérieures pour Windows et Macintosh
- Adobe Flash Player 18.0.0.203 et versions antérieures pour Windows et Macintosh
- Adobe Flash Player 18.0.0.204 et versions antérieures pour Linux installées avec Google Chrome
- Adobe Flash Player Extended Support Release 11.2.202.481 et les versions 11.x antérieures pour Linux
Résumé
Suite à l'exfiltration des données provenant de l'entreprise italienne Hacking Team, une seconde vulnérabilité de type 0-day dans Adobe Flash Player a été découverte, suivie d'une troisième plus récemment.
Ces vulnérabilités sont critiques et peuvent permettre à un attaquant de provoquer une exécution de code arbitraire à distance.
De façon similaire à la vulnérabilité couverte par l'alerte CERTFR-2015-ALE-005, ces nouvelles vulnérabilités risquent d'être rapidement intégrées dans différents kits d'exploitations et d'être utilisées dans le cadre d'attaques.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe du 10 juillet 2015 https://helpx.adobe.com/security/products/flash-player/apsa15-04.html
- Bulletin de sécurité Adobe du 14 juillet 2015 https://helpx.adobe.com/security/products/flash-player/apsb15-18.html
- CVE-2015-5122 - Second Adobe Flash Zero-Day in HackingTeam Leak https://www.fireeye.com/blog/threat-research/2015/07/cve-2015-5122_-_seco.html
- Référence CVE CVE-2015-5122 https://www.cve.org/CVERecord?id=CVE-2015-5122
- Référence CVE CVE-2015-5123 https://www.cve.org/CVERecord?id=CVE-2015-5123
